通过数字化转型重塑内部审计价值链

未来的数字化审计模式到底是什么样的呢？在我的脑海里一直有这样一幅蓝图——当我们的审计人员一上班打开他的电脑，在他的个人工作台里面就会跳出来所有他权限之内的相应的一些风险信号和线索，他需要做的不是去收集这些信号和线索，而是根据系统跑出来的信号和线索做出个人的职业判断和分析，哪些线索应该要怎么样去做。

原则上，对一些他认为价值比较高的、严重的风险，他要立即发起审计项目。审计管理人员要做的就是评估审计资源到底该给哪个审计项目。对于一些颗粒度不大的，甚至对于一些执行层面的问题或者一些风险不高的，可以不立即发起审计项目，把它丢到一个审计包里面，等到具体开展审计涉及到这一块内容的时候，再把它从中抓取出来。当然，在他对于所有的信号和线索进行相应的处理以后，特别是他还可以将相应的信号线索都发给被审单位，可以在系统上等到被审单位开展相应的自查自纠情况结果而去审核这个自查自纠结果的可靠性。

这就是我脑海里想象的未来审计的模样，更多的是希望能够摆脱一些日常性的工作，能够更加专注于审计对于现状背后、问题背后的逻辑，问题背后的制度、流程、体系甚至价值定位的一些思考。

如何来实现这样一幅蓝图呢？我们来看我对于数字化审计的整个业务流程的理解。我认为，数字化审计的流程应该首先始于对业务的研究以及对数据的研究，我们只有深刻理解业务背后的数据，以及理解数据背后的业务场景是什么样，我们才能更好地找到相应的风险的逻辑与规则。

基于这些规则，建立相应的模型。可以植入到我们的审计中台，审计中台更多的是发挥监控与预警的功能。在审计中台里面，我们可以实时地通过模型来输出信号和线索（当然审计对于时限要求没那么高）。但是，我们可以周期性地跑出模型所输出的一些信号和线索，根据这些信号和线索，就可以驱动我们的审计项目。

所以我们可以看到这一个链条，完全是基于我们对业务风险的研究来驱动审计项目。同时我们可以看到，这条蓝线基于数据的研究，我们可能抛开整个对业务逻辑的理解，也就是说我们抛开所谓的专家经验，纯粹从数据异常的角度去分析去挖掘一些相应异常的规则（编者：判断数据异常的逻辑是什么？），甚至通过机器学习与聚类分析，再倒过来去联系业务的逻辑。

也就是说，我们这个红线是正向的基于专家的经验（编者：审计专业还是业务专家？），再匹配、利用数据去驱动审计项目；而上面这根蓝线，我们是完全抛开所谓的专家经验。也就是说，未来我们对于财务进行审计，可能完全不需要懂财务的，只需要把一堆财务的数据扔到基于数据研究的一些审计模型（编者：审计模型建立在什么逻辑上？）里面去驱动这样的审计项目。

最后，我们再结合业务专家的意见。所以说这两条线是相辅相成的两条主线。同时下面还有一条绿色的线，这条绿色的线我们把它叫做价值线，价值所在。审计所有的发现和对于风险的披露，其目的都是为了更好地整改。（编者：整改不是目的而是手段吧，或者说，整改不是最终目的吧？）同时评估整个风险的持续改进，对业务的研究也有个持续研究与优化的过程。

基于这样的一个数字化审计的业务流程图，它的本质是如何去理解的呢？我的理解是这样的，从目的和关键以及本质来看，我认为我们首先应该思考一个组织的价值定位是什么。如果我们的组织把内部审计的价值定位定在查找问题，我相信所有的审计报告、审计行为和审计的资源都只是为了发现问题而发现问题，问题会越查越多，屡禁不止。如何为企业增加价值，才是根本的目的。整个数字化审计是基于这样一个目的去层层分解，分解到我们需要什么样的组织，我们需要什么样的能力模型，我们需要什么样的绩效考核来予以支撑。当然，我认为最关键的在于，我们不能穿上新鞋来走老路，相当于你拿着一张老的地图来走新路。所以，我们要从根本上从心里去接受和拥抱数字化，去拥抱变革。所以它本质上是一种变革，一个项目的变革，相对于我们内部审计来说，就是一个模式的变革，而其核心就是需要具备数字化审计以下四个方面特征。

首先，必须是数据驱动，通过业务风险的规则、利用数据分析驱动审计项目，通过数据挖掘、机器学习、聚类数据规则驱动审计项目，这就是我们前面讲的上面那一条蓝线，所以这两条线是相辅相成，都是建立在数据的基础之上。

第一个特征我们可以理解它为计算机辅助审计，最早的计算机审计，像我们说的远程审计，现在大部分审计可能还停留在这个阶段。面向未来，可以完全抛开所谓的业务专家的规则，利用数据分析甚至人工智能来去聚类相应的异常的规则，来去驱动相应的审计项目。

第二个特征是敏捷响应，数字化审计必须要能够通过对业务场景及时敏捷响应风险信号，重构组织架构，建立快速响应审计需求的能力。

第三个特征是必须要建立持续审计的能力，建立风险持续监控及持续评价改进状况的能力，形成风险识别、审计发现、跟踪整改和风险管理闭环。

最后一个特征是风险导向，风险在哪里审计就在哪里，我觉得这是我们真正做到风险导向的根本所在，我们过去很多做风险导向的，从形式上都完成了很多这样的风险流程，但是实际最根本的一点我们很难去真正解决——一个企业不断变化的风险在哪里？所以真正建立基于剩余风险导向的审计模式，是确保审计预警甚至预测企业经营管理风险的变化的核心所在。

基于这一点，我们也简单梳理了一个审计价值链，就是基于业审融合的内部审计的价值链，我们可以看到，在审计业务研究环节，在中台的持续监控环节，在前台的审计项目环节，我们其实都可以和业务部门在审计实务层面上有更好的融合与理解。比如说，我们可以共同地去梳理业务的风险，我们在中台甚至可以共同搭建模型，对于模型输出的规则，可以基于不同的颗粒度和重要性去分别执行相应的审计业务。而在审计前台，我们可以看到不是所有的审计任务都是由审计人员去完成的，可以共同去做公司内资源的协同。

总体来说，我们实施数字化审计，我们理解的实施框架，分为三个层级，在上层，最重要的是文化的引领，特别是对数字化的理解和建立数字化的文化、创新的文化。在中间层，我们可以看到人才是最重要的，包括重新定义审计人员能力模型、重构内审组织、重新设计内审人员绩效评价方案，都是有力地去支撑数字化审计能否落地的关键所在。最下面的一层，我们可以理解为资源层，包括数据、工具、模型、算力和系统，数据当然是重中之重，数据和模型是核心，工具、系统是支撑，算力是保障。

什么是数字化？我们讲的数字化审计，再延展一下，我们基于对数字化审计的一些管理流程、方式和框架，完全可以复制到我们数字化的经营管理。这句话不是我讲的，我给大家念一下：「我时常坐在办公室都感到诚惶诚恐、提心吊胆，担心一不留神就落后于人，不知不觉中就被数字化时代所淘汰。」这句话谁讲的？我们来看看。他说「数字化是21世纪推动人类社会进步、提升生产力的基础工程，是人类跨越式提升认识水平和能力的革命性的进步。」这是马明哲讲的，我非常认同这句话。我们有很多对于数字化的定义，有从技术层面的，有从数字转型层面的，有数字化资产、数字化驱动，这个模式变革层面的，但我觉得这个定义是我见过高度最高的，我也非常认同。特别是里面提到的数字化不仅仅是一种技术的革命，更是一种认知的革命，是人类思维方式与行为模式的革命。所以，认知到数字化的价值，才能更好地坚定不移地去推动，这一点尤为重要。我也特别认同，一个人的价值边界有多大，往往不是取决于你的能力、IQ、EQ，可能更是取决于人的认知。一个部门的价值有多大，其实我觉得也是取决于这个部门团队共同的认知。

马先生也把数字化对企业的价值，基于他个人的一些理解进行了阐述，在此作一下分享。

聪明经营：「先知、先觉、先行」的经营决策。通过大数据分析，总结行业发展规律，找到相比竞争对手的差异，识别市场机遇与挑战，从而在纷繁复杂的环境中看清本质，提前做出正确决策。

提升管理：提升内部管理与运转效率，通过数字化精简优化流程，用机器取代人工环节，或通过机器辅助人工降低流程耗时。

防范风险：「预测、预警、预防」风险防控。通过对风险数据分析的前移，从财务数据，到业务数据，再到行为数据，凭借人工智能的精准监测与分析，从行为源头上预防风险。

优化服务：优化客户服务的体验。金融业无需通过实物进行客户服务，相对其他实体行业，更适合数字化提升服务，优化客户体验。

降低成本：机器取代人工，降低人力成本。将简单重复的劳动力密集型工作，用人工智能替代。

来源：快乐审计Enjoy Audit ，作者刘国华